|
21-ago-2014 | #1 |
Aprendiendo Ingreso: julio-2014
Mensajes: 83
Sexo: País: Signo:
Agradecido: +224
|
Wapiti - Aplicación Auditoria Web en BT5
Wapiti es una aplicación que permite auditar la seguridad de sus aplicaciones web. No estudia el código fuente de la aplicación, pero va a escanear las páginas web de la webapp, en busca de scripts y de formas en las que se puedan inyectar datos. Posteriormente, Wapiti actúa como un fuzzer, inyectando payloads para ver si es vulnerable. Se pueden detectar las siguientes vulnerabilidades: Errores en el manejo de archivos (local y remote include/require, fopen, re***ile…) Inyecciones en base de datos (PHP/JSP/ASP SQL e inyecciones XPath) XSS (Cross Site Scripting). Inyección LDAP Detección de comandos de ejecución (eval (), system (), passtru ()…) CRLF Wapiti no se basa en una base de datos de vulnerabilidades como lo hace Nikto, a pesar de que integra su base de datos como un tipo de ataque desde la versión 2.2.1 Wapiti tiene como objetivo descubrir vulnerabilidades desconocidas en las aplicaciones web. No proporciona una interfaz gráfica para el momento y hay que usarlo desde un terminal. Wapiti es capaz de crear informes completos que incluyen todas las vulnerabilidades encontradas y la información relacionada con el fin de ayudar a solucionarlos. Uso: (En ingles) Wapiti-2.2.1 - A web application vulnerability scanner Usage: python wapiti.py http://server.com/base/url/ [options] Supported options are: -s <url> --start <url> To specify an url to start with -x <url> --exclude <url> To exclude an url from the scan (for example logout scripts) You can also use a wildcard (*) Example : -x http://server/base/?page=*&module=test or -x http://server/base/admin/* to exclude a directory -p <url_proxy> --proxy <url_proxy> To specify a proxy Example: -p http://proxy:port/ ... -c <cookie_file> --cookie <cookie_file> To use a cookie -t <timeout> --timeout <timeout> To fix the timeout (in seconds) -a <login%password> --auth <login%password> Set credentials for HTTP authentication Doesn't work with Python 2.4 -r <parameter_name> --remove <parameter_name> Remove a parameter from URLs -n <limit> --nice <limit> Define a limit of urls to read with the same pattern Use this option to prevent endless loops Must be greater than 0 -m <module_options> --module <module_options> Set the modules and HTTP methods to use for attacks. Example: -m "-all,xss:get,exec:post" -u --underline Use color to highlight vulnerables parameters in output -v <level> --verbose <level> Set the verbosity level 0: quiet (default), 1: print each url, 2: print every attack -b <scope> --scope <scope> Set the scope of the scan: + "page": to analyse only the page passed in the URL + "folder":to analyse all the links to the pages which are in the same folder as the URL passed to Wapiti. + "domain":to analyse all the links to the pages which are in the same domain as the URL passed to Wapiti. If no scope is set, Wapiti scans all the tree under the given URL. -f <type_file> --reportType <type_file> Set the type of the report xml: Report in XML format html: Report in HTML format txt: Report in plain text -o <output> --output <output_file> Set the name of the report file If the selected report type is 'html', this parameter must be a directory -i <file> --continue <file> This parameter indicates Wapiti to continue with the scan from the specified file, this file should contain data from a previous scan. The file is optional, if it is not specified, Wapiti takes the default file from the "scans" folder. -k <file> --attack <file> This parameter indicates Wapiti to perform attacks without scanning again the website and following the data of this file. The file is optional, if it is not specified, Wapiti takes the default file from the "scans" folder. -h --help >> Download Wapiti here << Aqui una linea de error en una web que nos marca un error: La cadena de entrada no tiene el formato correcto. Descripción: Excepción no controlada al ejecutar la solicitud Web actual. Revise el seguimiento de la pila para obtener más información acerca del error y dónde se originó en el código. Detalles de la excepción: System.FormatException: La cadena de entrada no tiene el formato correcto. Error de código fuente: Línea 123: SectorID = _intSectorID; Línea 124: else Línea 125: SectorID = int.Parse(Request.QueryString["s1d"]); Línea 126: Web de error: http://web.gob.pe/av/activity/avm.aspx?s1d='43 Expongo este material para fines EDUCATIVOS, no me hago responsable de su uso xD |
Usuarios que han agradecido este mensaje de Palawan | ||
Francisco6812 (21-ago-2014) |
(0 miembros y 1 visitantes) | |
Herramientas | |
Desplegado | |
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
[App] JLOJCH: Listado Oficial de Juegos Compatibles con HDL,OPL,USB,ESR by Tapia | nokiajavi | Software | 17 | 25-jun-2015 15:59 |
Listado de todos los códigos de error generados por Windows | Froyandres | Sistemas Operativos | 13 | 09-ene-2014 23:33 |
SPB Shell 3D El Home ideal para tu celular | felcon | Android, WebOS, IOS, ChromeOS | 15 | 26-dic-2012 22:12 |
PROGRAMACIÓN EN ANDROID: Conceptos Generales "Parte 1" | GenuiWorld | Programación | 5 | 31-dic-2011 21:16 |